eDirectory 8.7に追加されたスキーマフラグ

READ_FILTEREDおよびBOTH_MANAGEDスキーマフラグが、eDirectory 8.7に追加されました。

READ_FILTEREDは、属性がLDAPオペレーショナル属性であることを示すために使用されます。LDAPがこのフラグを使用するのは、スキーマを読み込んで属性が「オペレーショナル」であることを知らせる必要がある場合です。内部定義のスキーマ属性には、このフラグが設定されたものもあります。LDAP「オペレーショナル」定義には、3つのスキーマフラグがあります。新しいREAD_FILTEREDフラグとは別に、既存のフラグとして「オペレーショナル」を示すものにはREAD_ONLYフラグとHIDDENフラグがあります。これらのフラグのいずれかがスキーマ定義に存在する場合、LDAPは属性を「オペレーショナル」として扱い、特に必要がない場合はその属性を返しません。

BOTH_MANAGEDは、セキュリティ権利を強制する新しいメカニズムです。これは識別名構文の属性にのみ重要なフラグです。この属性に設定された場合、要求している接続には、ターゲットオブジェクトと属性、およびターゲット属性によって参照されているオブジェクトの両方に対する権利が必要になります。これは、現在のWRITE_MANAGEDフラグの機能を拡張したものです。このフラグは、現在ベーススキーマ属性には設定されていません。この新しいセキュリティ動作はeDirectory 8.7.xサーバ上でのみ実行されるため、このフラグに関連する動作に矛盾がないようにするには、ツリー全体をeDirectory 8.7以降に更新する必要があります。

eDirectory 8.7.xサーバだけがこれらの新しいフラグを認識するため、ルートパーティションのコピーを格納するeDirectory 8.7.xサーバによってのみ、これらのフラグをスキーマ定義に設定できます。これは、ルートを格納するサーバのみがスキーマを変更できるためです。通常インストールの新規サーバや、ルートパーティションを保持していない既存サーバをアップグレードしたサーバでは、これらの新しいフラグをツリー内のスキーマに追加することはできません。

これらの新しい機能のいずれかをツリーで有効にする場合は、スキーマが正常に拡張されていて、これらの新しいフラグを追加できることを確認する必要があります。確認する方法には次の2つがあります。1つは、ルートパーティションの書き込み可能なコピーを持つサーバを選択して、eDirectory 8.7以降にアップグレードすることです。これにより、自動的にスキーマが正しく拡張され、新しいフラグに対応します。

2つ目の方法はさらに込み入ったものです。次の手順に従って操作します。

  1. 新しく8.7.xサーバをインストールするか、ツリー内の既存のサーバをアップグレードします。このサーバが[Root]のコピーを保持している必要はありません。

  2. ルートパーティションのコピーをこの新しいサーバに手動で追加します。

  3. 次に示す適切なスキーマ拡張ファイルをこのサーバ上で再実行し、スキーマを拡張します。

    プラットフォーム 手順

    Windows

    install.dlmをロードし、[追加のスキーマファイルのインストール]をクリックします。

    NetWare

    nwconfigをロードし、[ディレクトリオプション]>[スキーマの拡張]の順にクリックします。

    Linux、Solaris、AIX、HP-UX

    ndsschユーティリティを使用します。詳細については、ndsschユーティリティを使用して、Linux、Solaris、AIX、またはHP-UXシステム上のスキーマを拡張するを参照してください。

  4. これらの新しいフラグが設定された新しいスキーマファイルをインストールします。

  5. (オプション)スキーマの同期後は、このサーバからルートレプリカを削除できます。

注:  これらの新しいスキーマフラグにより、オプションの機能が有効になります。新しい機能を必要としない場合は、スキーマ定義にこれらの新しいフラグが存在しなくても、ツリー内でのeDirectoryの通常操作に問題が起こることはありません。READ_FILTEREDフラグの場合は、属性の定義によっては存在しないことがあります。このため、オブジェクトのすべての属性に対するLDAP読み込み要求によって、フラグが存在すれば読み込まないはずのデータが余分に取得される場合があります。READ_FILTEREDフラグを含む属性の中には、READ_ONLYフラグまたはHIDDENフラグが存在するために、やはりオペレーショナルとして扱われるものもあります。BOTH_MANAGEDフラグは、すべてのサーバがアップグレードされたツリーでのみ有効になります。その環境の中でのみ、この機能を矛盾なく操作することが可能なためです。